БРАТИСЛАВА. Исследователи ESET обнаружили ранее недокументированный бэкдор, использованный для атаки на логистическую компанию в Южной Африке, которую они назвали Vyveva. Они приписали вредоносное ПО печально известной группе Lazarus из-за общего сходства с предыдущими операциями и образцами группы. Бэкдор включает в себя несколько возможностей кибершпионажа, таких как эксфильтрация файлов и сбор информации о целевом компьютере и его дисках. Он связывается со своим сервером Command & Control (C&C) через анонимную сеть Tor.
Телеметрия ESET для Вивевой предполагает целевое развертывание, поскольку исследователи ESET обнаружили только две машины-жертвы, обе из которых являются серверами, принадлежащими вышеупомянутой южноафриканской логистической компании. Согласно расследованию ESET, Vyveva используется по крайней мере с декабря 2018 года.
«Vyveva имеет несколько общих черт кода со старыми образцами Lazarus, которые обнаруживаются с помощью технологии ESET. Однако на этом сходство не заканчивается: использование поддельного протокола TLS в сетевом взаимодействии, цепочки выполнения командной строки и методы использования шифрования и служб Tor указывают на Lazarus. Следовательно, мы можем с большой уверенностью отнести Vyveva к этой группе APT, - говорит исследователь ESET Филип Юрчацко, который анализировал обнаруженный арсенал Lazarus.
Бэкдор выполняет команды, выдаваемые злоумышленниками, например операции с файлами и процессами, а также сбор информации. Существует также менее распространенная команда для временной метки файла, которая позволяет копировать временные метки из «донорского» файла в целевой файл или использовать случайную дату.
Vyveva использует библиотеку Tor для связи с C&C сервером. Он связывается с C&C с трехминутными интервалами, отправляя информацию о зараженном компьютере и его дисках до получения команд. «Однако особый интерес представляют сторожевые таймеры бэкдора, используемые для мониторинга вновь подключенных и отключенных дисков, а также сторожевые таймеры сеансов, отслеживающие количество активных сеансов, например, вошедших в систему пользователей. Эти компоненты могут инициировать соединение с C&C сервером вне обычного, предварительно сконфигурированного трехминутного интервала », - поясняет Юрчацко.
Обзор компонентов Vyveva
Дополнительные технические подробности о Вивевой читайте в блоге (Вы) в темноте? Следите за Vyveva, последним дополнением к набору инструментов Lazarus на WeLiveSecurity. Обязательно следите за обновлениями ESET Research в Твиттере, чтобы быть в курсе последних новостей ESET Research.
«Р7-Офис» представляет собой значительно более мощный инструмент для организаций разного масштаба
Мошенники активно эксплуатируют доверчивость пользователей, уязвимости дешевых устройств и анонимность криптовалют. Осведомленность и базовые меры безопасности помогут избежать потерь
В ходе кампании сотрудники компаний получают фишинговые письма, маскирующиеся под официальные рассылки государственных министерств.
XXI век – эпоха цифровизации. Практически все сферы жизни, от личного общения до государственных операций, перешли в онлайн. Но вместе с удобствами появились и новые угрозы: кибератаки, утечки данных, финансовые махинации
МойОфис представил масштабное обновление версии 3.3 для настольных, мобильных и веб-редакторов документов. В новом релизе значительно расширены возможности анализа данных: улучшена работа со сводными таблицами, внедрены функции фильтрации и сортировки, а также создания и настройки диаграмм. Эти обновления повышают эффективность работы с данными в продуктах МойОфис и помогают пользователям принимать обоснованные решения
Компания «Увеон – облачные технологии» (входит в «Группу Астра») представила контроллер доставки приложений Termidesk Connect — решение для балансировки нагрузки, повышения отказоустойчивости и масштабирования ИТ-сервисов. Продукт полностью заменяет зарубежные аналоги, такие как Citrix и F5 и располагает современными инструментами для управления высоконагруженными инфраструктурами даже при стремительном росте числа пользователей.
Эксперты компании «Киберпротект» и деловой социальной сети TenChat провели исследование среди пользователей, посвящённое безопасности пожилых людей в интернете. Аналитики выяснили, как часто люди в возрасте 60+ лет сталкиваются с онлайн- угрозами, как они и их родственники противодействуют им, а также, какие риски наиболее актуальны для них
Итоги работы Content AI в 2024 году: финансовый рост, важные проекты, интенсивная разработка продуктов, плодотворная работа с партнерами и изменения в структуре собственности компании.Генеральный директор Content AI Светлана Дергачева поделилась наиболее значимыми событиями прошедшего года и планами на 2025 год, рассказала о трендах, влиянии ИИ на отрасль и о дальнейшем его применении во флагманских продуктах компании
Вирусные аналитики «Доктор Веб» предупреждают о появлении новых версий банковского трояна NGate, нацеленных на российских пользователей. Этот троян передает данные с NFC-чипа скомпрометированного устройства, позволяя злоумышленнику снимать деньги со счетов жертвы в банкоматах без какого-либо участия с её стороны
Ваши контактные данные не публикуются на сайте.